Dal primo gennaio 2021 è entrata in vigore la nuova direttiva europea sui servizi di pagamento.

Qual’è il suo scopo

Lo scopo della PSD2 è quello di proteggere i pagamenti online sia per chi effettua l’acquisto che per l’e-commerce che permette la disposizione del pagamento.

Il processo di acquisto si attuerà nei termini di un processo di autenticazione “forte” (SCA)

Almeno due fattori delle seguenti categorie devono essere verificate:

  • Conoscenza: qualcosa che solamente l’utente può sapere (es. password, pin o la risposta ad una domanda particolare).
  • Possesso: qualcosa che solamente l’utente possiede (es. numero di cellulare, indirizzo e-mail, token).
  • Inerenza: qualcosa che l’utente è (es. impronte digitali o riconoscimento facciale).

Non sempre un E-commerce deve implementare l’autenticazione forte.

Non è necessaria se:

  • Transazioni inferiori a 30 euro, a condizioni che nell’arco di 24 ore i pagamenti non abbiano superato i 100 euro o non si siano effettuate 5 transazioni.+
  • Transazioni a basso rischio di importo complessivo tra 30 e 500 euro. Nel caso in cui i servizi di pagamento indicano tassi di frodi entro determinati parametri
  • Abbonamenti o pagamenti regolari. L’autenticazione forte viene applicata solo in occasione del primo pagamento.
  • Beneficiari “credibili”. Il titolare della carta potrà indicare uno o più e-commerce come “affidabili”.
  • Pagamenti fuori dall’Europa. Se il cliente non risiede in Europa, l’autenticazione forte non si applica

Modifiche ai termini di vendita e alla privacy policy

L’introduzione della PSD2 implica anche modifiche ai termini di vendita e alla privacy policy. Non sono modifiche obbligatorie per legge.

È però consigliabile informare l’utente delle condizioni previste dalla PSD2 per completare l’acquisto. Questa modifica impatta sul contenuto dei termini di vendita. Inoltre, nella privacy policy è anche opportuno informare l’utente che i suoi dati personali potranno essere trattati per completare l’acquisto. Questa informativa è importante per evitare, ad esempio, che l’utente reclami il fatto di aver ricevuto richieste di autenticazione direttamente sul proprio cellulare.